Apple ha (silenziosamente) corretto una falla zero-day sfruttata per spiare giornalisti europei, corretta senza alcun annuncio ufficiale all’epoca dei fatti.
La notizia arriva oggi grazie a un’indagine di Citizen Lab e a un aggiornamento dell’avviso di sicurezza pubblicato da Apple in queste ore, confermato anche da TechCrunch. La vulnerabilità, classificata come critica, è stata sfruttata da Paragon, azienda israeliana specializzata in spyware mercenario, per penetrare nei dispositivi di almeno due giornalisti in Europa, tra cui l’italiano Ciro Pellegrino.
Tutto ruota attorno all’aggiornamento iOS 18.3.1, rilasciato lo scorso febbraio. All’epoca, Apple aveva dichiarato di aver corretto una vulnerabilità legata ai blocchi di sicurezza del dispositivo, ma nulla lasciava intendere la presenza di una seconda falla, ancora più grave, legata alla gestione di foto e video condivisi tramite iCloud Link.
Soltanto ora, con mesi di ritardo, Apple ha aggiornato il proprio avviso ufficiale per ammettere che la patch includeva anche la correzione di un exploit utilizzato in attacchi mirati contro individui specifici, in particolare giornalisti.
Secondo Citizen Lab, l’exploit è stato impiegato da Paragon per infettare iPhone di alcuni target attraverso tecniche sofisticate e invisibili. Il malware si insinuava tramite contenuti multimediali ricevuti tramite iCloud Link, sfruttando una falla nella gestione delle anteprime.
Nel mirino sono finiti, oltre a Pellegrino, anche altri giornalisti e attivisti, come già era emerso a gennaio quando WhatsApp aveva notificato 90 utenti in tutto il mondo (inclusi difensori dei diritti umani). Apple, dal canto suo, ha iniziato a inviare avvisi generici a oltre 100 paesi, senza però mai citare apertamente Paragon.
Il punto più delicato di questa vicenda non è tanto la vulnerabilità, quanto la gestione comunicativa da parte di Apple.
La correzione era già presente in iOS 18.3.1, ma Apple ha volutamente omesso ogni riferimento alla falla collegata a Paragon fino ad oggi. Secondo quanto affermato dall’azienda nei suoi alert, fornire troppi dettagli “potrebbe aiutare gli attori malevoli ad aggirare i sistemi di rilevamento”.
Una strategia che, se da un lato ha senso in ottica operativa, dall’altro lascia aperti dubbi sull’effettiva trasparenza verso gli utenti, soprattutto quando in gioco c’è la libertà di stampa e la sicurezza di giornalisti e attivisti.
Paragon è una delle nuove protagoniste nel panorama degli spyware “di stato”, aziende private che vendono strumenti di sorveglianza a governi e forze di sicurezza. Il suo nome è emerso a più riprese nel 2025, spesso associato a episodi di sorveglianza illecita o violazioni mirate verso soggetti ritenuti “scomodi”.
Il paragone con NSO Group (la società dietro a Pegasus) è inevitabile, e anzi, Paragon sembra seguire un copione già visto: penetrazione dei dispositivi tramite vulnerabilità sconosciute, zero click, nessuna traccia visibile, difficoltà di attribuzione.
News